《信息系统安全等级保护基本要求》使用介绍.ppt

?信息系统平安等级保护根本要求?

使用介绍

目录使用时机和主要作用保护要求分级描述的主要思想各级系统保护的主要内容

一、使用时机和主要作用

?管理方法?〞等级划分和保护“第八条

?管理方法?〞等级保护的实施与管理“第十二条

?管理方法?〞等级保护的实施与管理“第十三条

?管理方法?〞等级保护的实施与管理“第十四条

?管理方法?〞等级保护的实施与管理“第十四条信息系统运营、使用单位及其主管部门应当定期对信息系统平安状况、平安保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊平安需求进行自查。

?管理方法?〞等级保护的实施与管理“第十四条经测评或者自查，信息系统平安状况未到达平安保护等级要求的，运营、使用单位应当制定方案进行整改。

信息系统定级信息系统平安建设或改建平安状况到达等级保护要求的信息系统

?信息平安等级保护管理方法??计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕?信息系统平安等级保护实施指南??信息系统平安保护等级定级指南??信息系统平安等级保护根本要求??信息系统平安等级保护测评要求?等等

?根本要求?的作用信息系统平安等级保护根本要求运营、使用单位〔平安效劳商〕主管部门〔等级测评机构〕平安保护测评检查

?根本要求?的定位是系统平安保护、等级测评的一个根本“标尺〞，同样级别的系统使用统一的“标尺〞来衡量，保证权威性，是一个达标线；每个级别的信息系统按照根本要求进行保护后，信息系统具有相应等级的根本平安保护能力，到达一种根本的平安状态;是每个级别信息系统进行平安保护工作的一个根本出发点，更加贴切的保护可以通过需求分析对根本要求进行补充，参考其他有关等级保护或平安方面的标准来实现;

?根本要求?的定位某级信息系统根本保护精确保护根本要求保护根本要求测评根本保护特殊需求补充措施

二、保护要求分级描述的主要思想

?根本要求?根本思路不同级别信息系统重要程度不同应对不同威胁的能力(威胁\弱点)具有不同的平安保护能力不同的根本要求

不同级别的平安保护能力要求

不同级别的平安保护能力要求

各个要素之间的关系平安保护能力根本平安要求每个等级的信息系统根本管理措施具备包含包含满足满足实现

?根本要求?核心思路某级系统管理要求根本要求建立平安管理体系具有某级平安保护能力的系统

各级系统的保护要求差异〔宏观〕平安保护模型PPDRRProtection防护PolicyDetection策略检测Response响应Recovery恢复

各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应

各级系统的保护要求差异〔宏观〕成功的完成业务信息保障深度防御战略人操作防御网络与根底设施防御飞地边界防御计算环境支撑性根底设施平安保护模型IATF

各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统通信/边界〔根本〕通信/边界/内部〔关键设备〕通信/边界/内部〔主要设备〕通信/边界/内部/根底设施〔所有设备〕

各级系统的保护要求差异〔宏观〕一级系统二级系统三级系统四级系统方案和跟踪〔主要制度〕方案和跟踪〔主要制度〕良好定义〔管理活动制度化〕持续改进〔管理活动制度化/及时改进〕

各级系统的保护要求差异〔微观〕某级系统物理平安管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理

三、各级系统保护的主要内容

各级系统的平安保护的核心某级系统管理要求根本要求建立平安管理体系具有某级平安保护能力的系统

根本要求的主要内容

根本要求的组织方式某级系统类管理要求根本要求类控制点具体要求控制点具体要求………………

根本要求-组织方式某级系统物理平安管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理

根本要求-组织方式物理位置选择物理平安(四级)物理访问控制防盗窃和防破坏防雷击防水和防潮温湿度控制电力供给电磁防护

根本要求-组织方式结构平安和网段划分网络平安(四级)网络访问控制拨号访问控制网络平安审计边界完整性检查网络入侵检测恶意代码防护网络设备防护

根本要求-组织方式身份鉴别主机系统平安(四级)自主访问控制强制访问控制可信路径平安审计剩余信息保护入侵防范恶意代码防范系统资源控